Wireshark抓包分析TCP“三次握手,四次挥手”
1.目的
客户端与服务器之间建立TCP/IP连接,我们知道是通过三次握手,四次挥手实现的,但是很多地方对这个知识的描述仅限于理论层面,这次我们通过网络抓包的方式来看一下实际的TCP/IP传输过程。
2.什么是抓包?
网络传输信息是通过层层打包,最终到达客户端物理层,经过网线等设备传输到服务器端后,再进行层层拆包,最后获取信息。而抓包的“包”就是这个打包了信息的“包。抓包(packet capture)就是将网络传输发送与接收的数据包进行截获,来进行分析的过程。
3.如何进行抓包?
我们可以利用现成的网络抓包软件Wireshark,进行抓包,从而分析TCP/IP传输过程。
Wireshark软件下载:Wireshark软件官网下载,一定要下载下图中的”Windows Installer(64-bit)
4.抓包分析TCP/IP传输过程(“三次握手”)
4.1第一步:浏览器打开网页https://www.hit.edu.cn/ (其他的网页也没问题)
4.2第二步:打开命令行窗口,输入:ping www.tencent.com,查看IP地址(切记:千万不要把https/http加进去)
这里我们得到的IP地址是61.167.60.70
4.3第三步:打开Wireshark软件
4.3.1先双击“WLAN”
4.3.2得到下图
4.3.3在下图方框位置输入:ip.addr==61.167.60.70,按下回车键,稍等片刻
(如果没反应,重新在浏览器输入网址,并重新获取IP地址,也就是重复1,2步操作)
4.3.4显示如下图所示
注意!!:如果第一步访问的是一些比较大的网站,例如腾讯之类的,这步会出不来,因为这些大网站往往有多个主机,你用ping访问到的ip地址和浏览器访问到的ip地址会出现不一致的情况,导致这一步只有ping的包。也就是说建议大家不要选择大网站测试,可以像我这样,用自己学校网址或者一些小的网站测试。
5.分析“三次握手”抓包结果
首先是抓包结果图(把上一步得到的结果划到最上面看)如下:
方框处也就是“三次握手的结果。
- 第一次的标志是“[SYN]”,序列号seq为0, 代表客户端请求建立连接
- 第二次的标志是“[SYN, ACK]”,序列号Seq为0,Ack值为客户端发送过来的Seq加1,也就是1,表示服务器可以正常接收客户端数据包。
- 第三次的标志是“[ACK]”,客户端表示可以正常接收服务器数据包,这是为了保证可以全双工通讯,接下来就可以正常发送数据。
6.“四次挥手”抓包及分析
首先我们需要把浏览器的页面关闭,也就是断开TCP/IP连接,之后等待几分钟。会出现下面的画面,方框就是“挥手”过程。
四次挥手标志分别为:
- "[FIN, ACK]"
- "[ACK]"
- "[FIN, ACK]"
- "[ACK]"
这里,我们需要注意两点:
(1)客户端与服务器端传输时全双工的,因此断开请求既可以由客户端发起,也可以由服务器端发起。只要找准第一次出现"[FIN, ACK]"的位置,就是第一次挥手位置。
(2)为什么我们抓包抓到的不是“四次挥手”,而是“三次挥手”呢?
这里涉及到LInux的TCP时延机制,当被挥手端(这里是12672端口)第一次收到挥手端(这里是443端口)的“FIN”请求时,并不会立即发送ACK,而是会经过一段延迟时间后再发送,但是此时被挥手端也没有数据发送,就会向挥手端发送“FIN"请求,这里就可能造成被挥手端发送的“FIN”与“ACK”一起被挥手端收到,导致出现“第二、三次挥手”合并为一次的现象,也就最终呈现出“三次挥手”的情况。